Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサム「Locky」が活動再開か - Wordファイル入りPDFで拡散

2016年に国内でも多数観測されたランサムウェアの「Locky」だが、再びあらたな活動が複数のベンダーによって観測されている。

PhishMeでは、「Locky」の感染を目的としたスパムの拡散を4月21日に確認。今回の感染活動では、従来とは異なり、Officeのマクロファイルを利用。不正送金マルウェアとして知られる「Dridex」の拡散方法と類似していると指摘している。

攻撃に利用されたファイルを解析したKaspersky Labによれば、メールへ添付されていたファイルは、PDFファイルを使用。外部よりファイルをダウンロードするVBAマクロを含むWordファイルがPDFファイルへと埋め込まれていた。

PDFファイルを開くと、Wordファイルが開くしくみで、その際に誤って「編集を有効にする」ボタンをクリックすると、ダウンロードされたランサムウェアによりファイルが暗号化される。暗号化後に追加される拡張子は「.osiris」だった。

今のところ、今回の攻撃キャンペーンで日本語を用いたスパムメールは確認されていないという。しかし、暗号化後に金銭を要求するページは、日本語を含む31カ国語に対応していた。

また今回の攻撃では、国内の一部サーバが踏み台に悪用されていた。問題のサーバは、2016年9月より改ざんされた状態が続いていると見られている。

(Security NEXT - 2017/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

なくならない「WannaCrypt」の検出 - 国内で少なくとも1900台が脆弱性を放置か
2017年の悪意あるファイル、1日あたり36万件 - 前年比11.5%増
米政府、「WannaCrypt」の攻撃者を北朝鮮と断定 - 日本も同調
マルウェア亜種の減少傾向続く - 一方でスパムは増加
インシデントでCISOをクビにすることは悪手 - イスラエル国家サイバー局ディレクター
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開
Avast、Mac向けセキュリティ対策ソフトの新版 - ランサム対策追加